2022. őszi, KRÉTA adatvédelmi incidens tankerületi bejelentés nyomán indult eljárása

Az igénylést már régen meg kellett volna válaszolni. A vonatkozó jogszabály értelmében a(z) Nemzeti Adatvédelmi és Információszabadság Hatóság munkatársainak már ki kellett volna adniuk a kért adatokat. (részletek). Panaszt nyújthat be a következő időpontig: belső felülvizsgálat kérése .

Tisztelt Nemzeti Adatvédelmi és Információszabadság Hatóság!

Az információszabadságról szóló törvény alapján a következő adatigénylést terjesztem elő.

Kérem, szíveskedjen elektronikus másolatban megküldeni részemre
a 60 tankerületi központ és az eKréta Zrt., jelenleg EduDev Zrt. adatfeldolgozó - https://www.edudev.hu/ Educational Development Informatikai Zrt.
1117 Budapest, Gábor Dénes utca 4. Infopark C épület
Tel: +36-1-999-1700 Email: ugyfelszolgalat kukac edudev.hu
URL: www.edudev.hu - 2022. őszi, adatvédelmi incidens bejelentését követően a Kréta rendszerrel kapcsolatosan bejelentett adatvédelmi incidens kivizsgálása céljából a Hatóság által hivatalból indított eljárása, tevékenysége közadatait, ha eljárását egy év alatt sikerült befejeznie.

Ha nem zárult le fenti vizsgálata, tájékoztatását csupán arról a közérdekű adatról kérem, hogy ki(k) a Krétában kezelt adatok adatkezelője (adatkezelői), akiknek a bejelentést a GDPR szerint az incidensről tudomásszerzést követő 72 órán belül meg kellett tennie (tenniük), azaz a tankerületi központok és a szakképzési centrumok kötelezett adatkezelők voltak-e az adatvédelmi incidens illetve a tudomásszerzés időpontjában, és az összesen 60 tankerületi központ adatkezelőként tett-e bejelentést a Hatóságnál,
ha az adatkezelő(k), (közös adatkezelők) kilétét a tisztelt Hatóság ismeri, vagy eljárása során megismerte.

Felhívom szíves figyelmét a GDPR (39)-re, abban kiemelten arra, hogy
"az átláthatóság elve megköveteli, hogy a személyes adatok kezelésével összefüggő tájékoztatás, illetve kommunikáció könnyen hozzáférhető és közérthető legyen, valamint hogy azt világosan és egyszerű
nyelvezettel fogalmazzák meg.
Ez az elv vonatkozik különösen az érintetteknek az adatkezelő kilétéről való tájékoztatására."

Ez alapján kérem még, ha ismer olyan közzétételi helyet, ahol az intézményekben használt Kréta rendszer
adatkezelőjének vagy adatkezelőinek kilétéről
közérthető, világos, egyszerű nyelvezetű tájékoztatás könnyen hozzáférhető, azt az URL-t, azokat az URL-eket is szíveskedjen részemre megküldeni.

GDPR (39) A személyes adatok kezelésének jogszerűnek és tisztességesnek kell lennie. A természetes
személyek számára átláthatónak kell lennie, hogy a rájuk vonatkozó személyes adataikat hogyan
gyűjtik, használják fel, azokba hogy tekintenek bele vagy milyen egyéb módon kezelik, valamint
azzal összefüggésben, hogy a személyes adatokat milyen mértékben kezelik vagy fogják kezelni. Az
átláthatóság elve megköveteli, hogy a személyes adatok kezelésével összefüggő tájékoztatás, illetve
kommunikáció könnyen hozzáférhető és közérthető legyen, valamint hogy azt világosan és egyszerű
nyelvezettel fogalmazzák meg. Ez az elv vonatkozik különösen az érintetteknek az adatkezelő
kilétéről és az adatkezelés céljáról való tájékoztatására, valamint az azt célzó további tájékoztatásra,
hogy biztosított legyen az érintett személyes adatainak tisztességes és átlátható kezelése, továbbá arra
a tájékoztatásra, hogy az érintetteknek jogukban áll megerősítést és tájékoztatást kapni a róluk kezelt
adatokról. A természetes személyt a személyes adatok kezelésével összefüggő kockázatokról,
szabályokról, garanciákról és jogokról tájékoztatni kell, valamint arról, hogy hogyan gyakorolhatja
az adatkezelés kapcsán megillető jogokat. A személyes adatkezelés konkrét céljainak mindenekelőtt
explicit módon megfogalmazottaknak és jogszerűeknek, továbbá már a személyes adatok gyűjtésének
időpontjában meghatározottaknak kell lenniük. A személyes adatoknak a kezelésük céljára
alkalmasaknak és relevánsaknak kell lenniük, az adatok körét pedig a célhoz szükséges minimumra
kell korlátozni. Ehhez pedig biztosítani kell különösen azt, hogy a személyes adatok tárolása a lehető
legrövidebb időtartamra korlátozódjon. Személyes adatok csak abban az esetben kezelhetők, ha az
adatkezelés célját egyéb eszközzel észszerű módon nem lehetséges elérni. Annak biztosítása
érdekében, hogy a személyes adatok tárolása a szükséges időtartamra korlátozódjon, az adatkezelő
törlési vagy rendszeres felülvizsgálati határidőket állapít meg. A pontatlan személyes adatok
helyesbítése vagy törlése érdekében minden észszerű lépést meg kell tenni. A személyes adatokat
olyan módon kell kezelni, amely biztosítja azok megfelelő szintű biztonságát és bizalmas kezelését,
többek között annak érdekében, hogy megakadályozza a személyes adatokhoz és a személyes adatok
kezeléséhez használt eszközökhöz való jogosulatlan hozzáférést, illetve azok jogosulatlan
felhasználását.
(Változtatás nélküli másolat forrása: https://www.naih.hu/GDPR/GDPR_HU_korrege...)

Segítő együttműködését előre is köszönöm.

Kelt: 2023. december 4.

Üdvözlettel:

Kiss László

NAIH Ügyfélszolgálat, Nemzeti Adatvédelmi és Információszabadság Hatóság

1 Attachment

Tisztelt Címzett!

Mellékelten megküldöm a Nemzeti Adatvédelmi és Információszabadság Hatóság levelét!

Üdvözlettel:

NAIH Ügyfélszolgálat

idézett részek megjelenítése